新闻
当前位置:首页 > 新闻 > 行业新闻 距离GDPR生效倒计时2天,中国企业应当如何对数据进行合规保护?
距离GDPR生效倒计时2天,中国企业应当如何对数据进行合规保护?

5月25日,全球第一部以正式法典形式出现的欧盟《一般数据保护条例》(简称GDPR)将正式生效,距离这部堪称目前这个星球上最先进和最严格的隐私保护制度生效,只剩2天啦!

什么是GDPR,在数据保护方面的规定又是什么,它与中国企业之间有什么关系,中国企业应该如何防范?今天,敏捷将带您一一解读。

什么是GDPR

2016年4月27日,欧盟议会通过了《一般数据保护条例》(以下简称GDPR)法律条例,用于取代1995年发布的过时的数据保护指令(DPD)。

新的指令完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民(欧洲经济区公民)数据的公司必须存储安全和管理个人数据的方式,将在2018年5月25日生效。

GDPR生效后,对个人数据的隐私和保护将更加的透明和具有操作性。

      GDPR作为欧盟颁布的法律条例和我们中国企业有什么关系呢?那就不得不介绍一下GDPR的适用范围了。

GDPR的适用范围

1.本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。

2.本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:

(a)发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;

(b)或是对数据主体发生在欧盟内的行为进行的监控的。

3.本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

      这就意味着只要中国的企业为欧盟境内的数据主体提供了服务,即使其在欧盟境内没有设立任何分支机构,也依然受到GDPR的管辖,对中国企业的信息安全管理提出了更高的要求。

在数据保护方面的要求

GDPR被称为“史上最严的数据保护条例”,从三个方面对企业数据保护提出了严格要求:正确的使用数据确保数据的访问安全保证数据的可用性。同时,GDPR要求企业将更大范围的数据纳入到数据管理体系当中,特别是那些企业边缘的个人数据,而且不仅仅是保证数据的可用性,还需要对数据具有足够的洞察力以确保合规。

① 公司必须设立一个数据保护官(Data Protection Officer,DPO)。数据保护官必须直接汇报给最高管理层,其职责是监管和规范数据负责人和数据处理者的数据活动。

② 公司需要保留用户数据监管信息,并定期删除无关数据。

③ 公司必须部署合适的工具用以保护数据,以防数据丢失、损坏或泄露。当发生任何数据泄露相关事件,数据管控者与数据处理者需要在72小时内进行报告。

④ 公司处理个人数据必须要有合法理由,包括数据主体的同意、为了签订或履行合同需要、遵守法定义务的需要、为公共利益或行事政府授权以及为追求数据控制者的合法利益等。

⑤ 当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求公司删除数据

⑥ 用户有权并可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者处。

⑦ 公司禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、工会组织成员的数据、个人基因识别数据、生物数据、涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要在法律允许的范围内已采取了适当的保护手段等。

⑧ 公司处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于13岁。

⑨ 公司需要实现数据的“缺省保护隐私”,即这种数据保护的隐私设计需要有默认的两个原则,一是数据采集与数据使用目的的一一对应原则;二是数据采集的最小化原则。

法案对于企业违规设置了昂贵的处罚规定,对于不遵守GDPR法案的企业处以严厉的制裁和巨额罚款,根据违规性质的严重程度,分为一般违法行为严重违法行为。对于一般违法行为,处以全年营收额2%或1000万欧元的罚款,两者以高者为限;对于严重违法行为,处以全年营收额4%或2000万欧元的罚款,两者以高者为限。此外,法案支持所有受企业违规影响遭受损失的个人向企业提出损失赔偿的请求,为民事诉讼提供了法律基础。

      如何高效、简化、统一的满足这些数据保护的需求,这将是每个企业都将面临的挑战。GDPR生效在即,中国企业如何做到未雨绸缪、对数据进行合规保护?

中国企业防范措施

① 制定新的战略,着眼改善自身业务。

为应对法案实施,中国企业应该从企业战略角度,进行周密地准备,包括与欧盟成员国相关数据保护部门和利益相关方密切合作,了解其对GDPR监管力度、配套的计划等等。符合GDPR合规要求将成为一项潜在的竞争优势,合规将提高消费者对企业的信心,而且,其所需的技术和流程改进应该能够提高组织管理和保护数据的效率。

② 严格自查评估,制定汇报GDPR合规进度的计划。

GDPR的实施,必将使业务涉及数据处理或检测的企业受到影响。企业需要全面检查自己公司存储和处理的欧盟公民数据,评估安全风险。将自己平台数据的操作与GDPR的有关内容进行严格比对,对不合规部分做出整改。清点应用程序和完成“处理活动记录”,发现和调查与数据相关的任何风险,并确定保护这些数据所需的适当安全级别。

③ 制定响应机制和数据保护计划。

根据该法案规定,企业需设立数据保护官等职位,定期审查数据相关政策确保企业自身符合GDPR并使企业业务顺利运行。完成数据安全漏洞检测,确保发生情况时及时处置,同时,保持与利益相关方的有效联动

大数据时代,数据量呈井喷式增长,数据作为企业的核心资产,其隐私问题已经成为数字经济时代的顶层问题,自由合法的数据流通成为数字时代经济持续健康发展的基石。敏捷科技十八年来聚焦“让数据更安全”,专注于为企业提供合规的一体化数据安全解决方案,全方位保护和管理数据并符合GDPR规则要求,助力中国企业海外业务布局

法律申明渠道合作网站地图联系我们
服务热线:4008-866-855 传真:0512-69172209;025-84521143 邮编:215021
Copyright @ 2008-2014 敏捷制胜 安全致远 江苏敏捷科技 版权所有 SiteMap 苏ICP备09070733号-1